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软件 沁 洞 是 诸多 安全 事件 的 源头， 
网 络 攻 击 手 段 
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。 《计算 机 安全 近 术 规划 研究 》 
。 1972 年 10 月 
。 JamesP Anderson 为 美空 军 所 写 
。 “六 数 的 代码 没 有 正确 检查 源 地 址 和 有 自 
的 地 址 ， 人 允许 用 户 禾 震 部 分 系统 数据 。 
这 可 能 信用 来 同系 统 中 注入 代码 ， 从 而 
使 用 户 获 得 系统 的 控制 权 ” 
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轩 弓 洞 的 网 络 攻 防 


“漏洞 挖掘 与 分 析 、 针 对 漏洞 的 攻击 检测 、 抑 制 和 防护 ， 是 过 去 二 十 
年 信 已 系统 安全 领域 的 热点 和 难 操 
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"严重 依赖 专家 
”人 工 是 凋 洞 分 析 最 宝 贯 的 和 贷 产 
。Fuzz 上 友 现 的 漏洞 比例 37% 
。 人工 审 计 发 现 的 比例 54.2% 
(来 源 : Google Zero Project 报 告 ) 


"” 沁 洞 分 析 的 南 求 ? 


。 EN 
2 er 一 一 一 
7 彤 只 
对 语 . 交流 合作 前沿“ 实用 人 才 


自动化、 特 能 化 网 络 攻防 ] 


。DARPA 自 动 化 网 络 攻防 cGcC 信 
。 目 动 化 沁 癌 控 据 
目 动 化 漏洞 利用 GRA 
自动 化 攻击 抑制 2 
目 动 化 注 洞 修复 
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”以 沁 洞 为 中 心 的 网 络 攻防 天 键 扩 术 
. 模糊 测试 二 
"符号 执行 人 
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/人 口 扩 TECHx Shellphish 


名 。 
难 所 人 
全 C 站 BER 


GRAIND_CHALLENGEE 


Codelitsu CSDS 
7 让 1] 殉 天- - 和 区 更 中 时 
ee 全 六 >: 妇 叶 ， ， ( 


NE 


Athens，GA Berkeley， CA Moscow， ID 


志 ) 会 人 


对 语 - 交流 合作 ”前沿 实用 人 才 


以 Fuzzing 为 代表 的 动态 分 


Ubuntu 人 -直子 = 了 下 -站 -也 二 二 2 


Everyone is doing fuzzing 仿 AN 
目 2014 年 , 超过 60 top-tier papers 和 


站 一 可 是 是 有 和 和 三 瑟 ， 而 证人 扣子 扫 丰 世 


(Security Top 4+ SE Top 4 
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FUZzlIng 


。 1989 年 Barton Miller 和 在 抱 斯 康 星 大 学 提出 
"主要 原理 
"随机 生成 大 量 测 试用 僵 
”是 形 用 例 
"工业 界 应 用 最 广 、 页 献 最 大 的 安全 测试 万 法 
"组 中 区 人 座 出 、 路 站 氮 脚本 ， 格 陈 凋 调 、SQL ) 广 入 
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Grey-box FUuzzlng 


"天 键 : 志 历 尽 可 能 多 的 程 序 状态 
char buf[4] mm0 | 0 | 0 | 0 | nitialseed 


<= 256 mutations 


咖 f(buf[0] == “和 A7) <= 256 Imutations 


TbufD] 一 人 | A [se mo | 0 | seed: 


( <= 256 Imutations 


<= 256 mutations 


1nput(CbufT，4); /4-type 1nputs 
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Grey-box Fuzzlng 


”难以 届 历 散 空 间 小 的 状态 


1Tnt mag1c ; 


1nputk(C&mag1Tc，4); /7 32-b1t 1nteger 


十 平 (mag1cC 关 OXx12345678) 
bug() ; 
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侍 号 执行 
1975 年 瓯 提 出 的 一 种 程序 分 析 扩 木 
。 可 猴 系 统 化 探索 程序 的 各 条 执行 路 径 
。 近 10 几 年 得 到 巨大 的 友 展 
。 硬件 计算 能 力 、 更 局 效 的 约束 求解 算法 
。 动 仿 符 号 执行 扩 林 
。 主 要 应 用 
。 和 缺陷 /漏洞 检测 (SAGE ) 
。 测试 用 例 生 成 (Pex、KLEE、SPF ) 
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A/ 中 A 


侍 写 执行 


。 人 符号 执行 的 工作 过 程 
。 把 程 民 的 输入 用 符号 来 表示 
。 任 程序 中 进行 符号 计算 ， 变 量 都 表示 为 符号 表达 式 
遇 到 分 文 ， 程 序 分 解 为 两 个 路 径 ， 每 条 路 径 有 一 个 布尔 表 
达 陈 表示 的 Path Condition (路 径 约 束 ) 
这 样 不 断 分 解 路 径 ， 形 成 程序 的 符号 执行 树 ， 代 表 程 厅 的 


各 条 执行 路 径 
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侍 号 执行 
。 人 符号 执行 的 工作 过 程 
。 设 输入 为 X 
。 代码 语句 = 方程 2 


Ar 听 + ZX 一 口 、 1--5 一 1<5 
侍 号 执行 一 万 程 组 生成 LA xi SN 
约束 求解 一 解 方 丰 于 人 MA(N>=12| X2=1 


R=-2 


人 > >MA(N<5)^>Q 


~MA{N<5)AQ > 


R=3 
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动态 侍 号 执行 


。 Concolic Testing (Concrete and Symbolic ) 
。 程序 输入 同时 具有 符号 值 和 具体 信 
。 用 具体 值 多 次 执行 程序 ， 每 次 执行 一 条 路 径 
”执行 完 一 条 路 径 后 ， 约 束 求 解 找 到 新 路 径 的 输入 ， 继 续 下 
一 次 执行 
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1Tnt mag1c ; 


1nput(Cemag1c，4); /7/32-b1t 1nteger [Ra 0 (symlj | 0(sym) | 0(sym) |Initial seed 


bug CD ; 


e|se 


和 Constraint: 
magic==Ox123425678 


Solving 


人 
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' 优势 
' 定 同 明 历 
“可 生成 实际 的 输入 
"个 下 
路 径 和 爆炸 
性 能 损耗 太太 ， 特别 是 任 遍 效 的 Fuzzing 面 天 ， 无 对 比 无 伤 


下 
上 


第 八 间 全 国 网 络 与 信息 安全 防护 峰会 


Hypbrld Fuzzlng 


Covered 


Non-Covered 


Constraint 
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Hypbrld Fuzzlng 


。 异 柚 训 试 + 符号 执行 
。 理论 上 的 优势 互补 
。Fuzzing 难 以 轴 历 解 空 间 很 小 的 状态 ，Concolic 可 以 
。 Concolic 很 慢 上 且 路 径 爆 炸 ， 大 部 分 的 明 历 活 交 给 fuzzing 


"如何 册 度 ”如 何 分 友 通 历任 务 ? 
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Hypbrld Fuzzlng 


。 [Towardqs Optimal Concolic Testing (2018) 


， 需求 分 发 策略 
。Hybrld Concolic Testing (2007); Drller (2016) 
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Hypbrld Fuzzlng 


。 [Towardqs Optimal Concollc Testing (2018) 
”和 针对 每 个 path， 分 析 fuzzing 和 符号 执行 的 代 但 
” 忌 是 选择 最 经 鹿 的 那个 
” 问题 
”理论 方法 
”难以 量化 fuzzing 和 符号 执行 的 代价 
”符号 执行 的 代价 和 目标 程序 、 符 号 执行 器 、 约 束 求 解 器 等 都 有 天 
”量化 万 法 依然 重量 级 
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Hypbrld Fuzzlng 


， 需求 分 发 策略 
。Hybrld Concolic Testing (2007); Drller (2016) 
。 首先 司 动 fuzz， 监 控 fuzzing 的 状态 
“ 当 不 能 继续 发 现代 码 履 盖 率 时 ，fuzzing 遇 到 困难 了 
"局 动 符 号 执行 辅助 
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Hypbrld Fuzzlng 


， 需求 分 发 策略 
”9Stuck 是 Fuzzzer 的 状态 ， 并 不 能 反应 具体 的 程 司 和 被 测 状态 
。 Where Is the stuck polnt 
。 Fuzzer 当 有 stuck, 程序 的 某 举 路 径 是 含 已 经 stuck 
。 stuck 状 态 是 个 暂时 的 
。 如 何 量化 fuzz stuck 
。 即 便 是 找到 stuck point， 代 价 的 比较 依然 存在 


” 忆 效 率 的 轻 量 级 二 试 vs. 举重 的 精确 计算 
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南 求 分 六 委 略 效果 


。 118 个 程 B 中 有 49 个 程 民 的 测试 调用 了 concolic execution 
。 对 于 纯 fuzzing， 其 stuck 持续 时 间 都 很 在 ，80% 人 在 100s 以 内 


下 


Percentase (%0) 


U ]UU 200 300 400 3500 600 /00 
Perlod of beling stuck (seconds ) 
Fig. 1: he distribution of the stuck state duratlons 


军 八 届 全 国 网 络 与 信息 安全 防护 峰会 

EL 人 入 小生 息 中 入 六 

再 求 分 友和 略 效果 
"interesting inputs 的 数量 和 在 有 限时 间 内 (12h) 


concolic execution 能 够 完成 的 input 数 量 大 得 多 


国 式 of lniputs takken by 
oncollic execttion 


。 / .170 
(1709 /23915) 


E 
醒 # of InDpnuts fom the 
ZeT 
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南 求 分 友 肛 略 效 案 
"interesting inputs 的 数量 和 人 在 有 限时 间 内 (12h) 


concolic execution 能 够 完成 的 input 数 量 大 得 多 


1 一 二 3 ， Let's sav Tepdump 
当 了 决 的 QTYM 产 In 24 hours, 点 FL generates DOVEeT 
(savior) 20R seeds. 


In 24 hours, 口 SYM 也 e fastest 
concolic executor can replay 
arotund 600 seeds. 
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、 、、 忆 、 记 二 
泥 合 陈 漏 洞 挖掘 
。 Fuzzing 承 担 主 要 的 工作 〈( 解 空 目 大 的 路 径 志 历 ) 
。 Concolic 承担 解 空 间 小 的 路 径 遇 历 
。 如 何 判别 程 太 B 路 径 的 解 空 间 ” 
。 精确 的 解 空 间 估计 依赖 于 精细 化 的 程 厚 分 析 
。 概率 符号 执行 、 程 序 值 集 分 析 (VSA) 
量 级 的 方法 可 能 会 得 不 途 失 
. 精细 化 程序 分 析 所 导致 的 性 能 损耗 得 不 偿 失 
。 轻 量 级 的 粗略 估计 ”? 
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DIgFUzz 
"一 种 基于 家 特 卡 洛 方法 的 概率 间 合 模糊 测试 


Probablinstc path pioritzaton Imodel based om ALonte (arlno 


上 Xecutom tee 
Inmitial COmnStUCtOIL 1 Probability 
inprut basedl path 
prioritzanoa 


上 xecutom sarmplnmg 


Fig. 3: DOVerview of 局 上 Fuzz 
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我 们 的 方法 : DigFuzz 


"一 种 基于 和 戎 特 卡 洛 万 法 的 概率 混合 模糊 测试 
"基于 蒙特 卡 洛 方法 度量 路 径 的 解 空 间 
' 随机 取样 命中 的 概率 
”基于 概率 对 missed paths 排 序 
*” 任 统 一 的 概率 估计 模型 下 排 夯 ， 和 而 不 是 去 直接 比较 fuzzing 和 


COncolic execution 的 代价 
。 每 ) 炎 concolic execution 都 选择 概率 最 低 的 路 径 
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我 们 的 方法 : DigFuzz 


通过 荣 种 “ 弃 验 ”的 方法 ， 得 到 这 种 事件 出 现 的 频率 ， 或 
这 个 随机 区 效 的 平治 便 ， 人 EN 
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DIgFUzz 


' 基于 蒙特 卡 洛 方法 的 概率 估计 
' 将 Fuzz 随 机 测试 抽象 成 为 程序 状态 的 随机 取样 
' 解 空间 的 值 -> 基于 蒙特 卡 洛 方法 的 估计 
' 监视 Fuzz 所 产生 的 代码 覆盖 信息 ， 估 计 每 条 路 径 的 概率 
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DIgFUzz 
”路 径 的 概率 估计 


“直接 信 计 路 径 概 率 南 要 路 径 的 复 竺 信息 
“将 路 径 概率 抽象 为 马尔 科 夫 过 程 


。 和 计算 branch 的 概 滩 


| Br， ) PT 本 
瑟 (PP 中 站 和 1 CO (bril 天 [ 人 
1 eomp (pr;) 一 人 4 
ELET | 1 人 


。 依据 路 径 覆 盖 的 branch， 估 计 整 个 路 径 的 概率 


已 (pathi) 三 | |{ 忆 (prilpri spati} (2 
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”CQFE 样 本 集 上 的 黎 兰 率 


、 旧 
" 储 术 特色 j 
。 Crash 数 量 让 | 


Fig.6: Mormalized bitmap Size On (LE dataset 
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上 valuation 
。 Concolic Execution 的 页 也 
[二 三 三 | 
。 代 人 码 禾 兰 率 的 增长 ABLE IUUL Pertormance of concollc executlon 
。 纯 fuzz: 2.91 倍 -下 TcE AT TIR TTD TY 
村 9558 | 1 
。Driller . 3.07 pgruz 上 革 二 十 林 |35C|755 |TT- 
西戎 用 |. 析 本 - 汪 区 -本 区 :四国 
。 Randorm:3 25 68 | 159 | 32 47 343 8 
ES Random [55 | 735 2 | 358 57 6 
-TS 
”DigFuzz: 3.46 -有 | TD 再 二 开 二 5 了 
Dr [本 
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“的 


上 mm 
安 
1 
内 


全 
[ 


已 已 已 kt 已 已 已 已 


Normalized bitnaap size 
Normalized bitnaap size 


kb 一 io 


Ln 


二 
km 


人 


避 
避 


5 
km 
ko 


Normalized bitnaap Size 


Normalized bitnaap Size 


234356789 10112 


9 4 也 
tm mm wm 上 


人 
Ah 


Normalized bitmaap Size 


心 
2 


0123435 6 


Pdftohtmil 
*。 上 andotm 
一 一 Drlllert 
一 一 AFL 
3535678910112 012345678910111: 
Time (hour) Time (hour) Tinme (hour) 
0.29 
0.23 
而 
曼 027 号 
全 已 2.3 
和 0.26 中 
0.25 三 1 
0.24 和 
- 1.5 
0.23 E 
三 呈 
0.22 1 
12345678911l12 01234353556789310112 012345678910112 
Time (houm) Time (hour) Time (houn) 


2 


Normalized bitnanp size 
人 


忆 
惟 


Normalized bitmnp size 


2 


下 0 
55678910112 012345678910112 本 
Time (hour) Time (hour) Time (hou) 


一 一 DigFuzz "andom 一 一 Drillerr 一 AFL 


第 八 间 全 国 网 络 与 信息 安全 防护 峰会 


后 续 工 作 的 上 及 现 
。 人 符号 执行 的 贡献 依然 很 低 ， 性 能 驱 竺 提升 
。 问 等 贷 产 限定 下 的 收 符 不 如 Fuzzing 
。 AFL+ : 将 人 符号 执行 器 所 占 的 
CPU 和 侦 源 全 部 分 配给 AFL 
。 QSsym: hybrid fuzzing 
。 CPU 笠 源 等 价 
。 内 仔 竺 源 更 多 
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Fuzzing 的 困 局 
。Fuzzing 的 性 能 与 锌 测 对 和 象 索 客 相 天 


。 目标 导 辐 的 Fuzzing 
“协议 的 状态 维持 、 复 杂 格 式 的 探测 
。 面 对 多 样 化 数据 类 型 的 自 适 应 变异 算法 
。 结合 程序 分 析 、AI 的 智能 搜索 
。 Fuzzing 对 程序 状态 的 搜索 ， 可 售 受 Al 应 用 的 局 友 
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一 进 届 层面 侍 号 执行 的 困 局 


。 侍 号 执行 的 扩展 性 
。Syscall /Lib 为数 摘要 可 解决 
。 人 符号 执行 的 不 完整 
了 村 和 实际 执行 的 隔 头 
。 执行 路 径 的 不 完全 -> 产生 的 input 不 完整 
和 认为 是 有 效 输 入 
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二 进 届 层面 侍 号 执行 的 困 局 


。 人 符号 执行 的 性 能 上 问题 
效率 不 如 动态 污 品 
。 动态 污点 辅助 的 符号 执行 


“二进制 层面 的 竺 号 芭 症 问题 
Mop 二 二 -HH、\、 记 EAI 太 中 


。 霸 守信 年 侍 扎 
。 无 法 上 别 字 段 : trace 过 长 ， 很 难 实现 字 段 的 扩 竟 


也 De 中 全 山 
对 话 . 交流 合作 前 沿 . 实用 人 才 
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